社群媒體是一把雙面刃,享受分享樂趣的同時,也要記得保護自己,避免遭受惡意濫用社群平台的影響。如果你是企業員工,分享前更需三思,因為任何一名員工都可能成為企業級攻擊的切入點。
社群媒體已經是人們生活中不可或缺的一部分,成為我們取得資訊或與人互動的主要管道。疫情爆發更是加深了此一狀況,檢疫隔離、在家工作(Work-From-Home,WFH) 讓人們更加依賴社群平台作為與世界其他人主要聯繫的方式。這也導致了人們分享的資訊量暴增。
感謝這些社群平台帶給我們的好處,也該提醒大家如何安全地使用社群平台的建議。
在社群媒體上的發文不一定只有你的聯絡人可以看到。根據你的帳號設定,這些內容也可能被其他人,甚至所有人看到。而且不只是你自己的發文,還包括你被標記在內的留言或照片、你參加的群組或關注的興趣。
趨勢科技兒童與家庭網路安全 (ISKF) 團隊近來十分忙碌。我們在學校的外展工作發展越來越順利。透過這些工作,我們很幸運有機會幫助許多父母和孩子,分享關於正面、安全且負責任地使用科技的專業知識。過去十年來我們每年都幫助了上千人,也在這些經驗中瞭解到一些新事物。
根據兒童福利聯盟2019兒少使用社群軟體狀況調查報告,顯示超過八成(82.7%)兒少擁有自己專屬的手機,台灣孩子擁有手機的平均年齡,竟然只有10.1歲,近九成(87.0%)的兒少有社群軟體帳號,平均每個孩子擁有3.8個社群軟體帳號。
在我們的活動中,父母會分享自己對於孩子安全及健康的關注,也會談到對於沉迷網路、過度分享、霸凌等問題的擔憂,這些問題似乎隨處可見。其實近年來,在面對網路問題以及解決方法時,父母的參與及普遍知識都有所提升,但仍表示自己感到能力不足,無法給孩子正確的引導 (不過孩子有需要時仍非常希望立即向父母尋求線上協助)。
父母遇到的一大問題就是如何在網路上與孩子互動,甚至問題在於是否該以這種方式與孩子互動。為了幫助父母瞭解這個領域,我們在 Twitter 上展開調查,使用了 #AskAStupidQuestionDay 這個主題標籤。有時父母在對自己關注的主題提問時會感到不好意思 (孩子面對同樣情形也是如此),怕自己顯得很笨或搞不清楚狀況,但錯誤資訊和糟糕的做法最容易在缺乏知識的狀況下發生。事實上,當我們討論的是孩子的健康,就沒有什麼問題是蠢問題。
繼續閱讀資安專家和安全團隊如何利用社群媒體收集可用來保護其組織的威脅情報?
本文重點:
社群媒體平台可以讓使用者和組織進行通訊和分享資訊。而對資安專家來說,它可能不僅僅是個網路工具。還是個能夠提供從漏洞、漏洞攻擊碼和惡意軟體到惡意份子及異常網路活動等有價值資訊的來源。事實上,有44%的受訪組織提到社群媒體情報(SOCMINT)對其數位風險保護解決方案的重要性。
我們開發了用來檢查 Twitter上資料和案例研究的工具,以了解如何利用社群媒體來收集可供行動的威脅情報。好的一面:社群媒體可以成為另一個資訊來源,只要經過驗證就可以用來保護組織對抗威脅。壞的一面:社群媒體可能被利用來破壞公眾人物或組織的聲譽。
從社群媒體管道收集威脅情報需要可被處理、分析、驗證和能夠提供脈絡的資料。
有多種方法可以取得原始資料。有開放原始碼的情報工具(如TWINT)能夠抓取資料,或用公開的Twitter串流API來收集樣本資料進行分析。另一種作法是對現有資料集進行更深入的研究,例如被美國政治數據分析網站FiveThirtyEight用來分析酸民推文的資料集。而我們的研究使用了Twitter公開API,因為它符合Twitter的服務條款和使用政策。我們還將本研究所有得到的入侵指標(IoC)回報給Twitter。
繼續閱讀最熱門的社群平台擁有數十億的使用者,而且這數字還在每年的增加中。Facebook、YouTube和Instagram等各領域的巨擘已經遠超過原本只是用來分享、娛樂和溝通的目的。現在企業將它們視為有用的廣告工具,而使用者也可以將分享內容當作職業。不僅如此,其他應用程式也會用主流社群媒體帳號來驗證使用者身份 – 你可以用Facebook或Twitter帳號來註冊各種應用程式和遊戲。而企業現在也經常在社群媒體上調查未來的員工,將其作為一種人格特質檢查。
根據一項最新的研究,因為社群平台的多樣用途,讓它們成為一般人每天會花費約116分鐘在上面的重要工具。由於它們的無所不在,並且連結了越來越多手機或其他設備上的應用程式,讓保護它們安全變得更加必要。
以下是提供給使用者和企業關於社群媒體管理的一些最佳做法。
駭客可以拿入侵的帳號做什麼?
|
各家社群平台都具有你可以加以利用的安全功能。以下是五個保護個人帳號安全的一些建議:
將所有 HTTP 流量加密,一直是資安界長久以來的努力目標,但這其中必須面臨兩大障礙。首先,憑證不是免費的,而許多網站經營者並不想多花錢;其次,憑證本身並非網站經營者能夠自行產生。
為此,網路上出現了一個叫做「Let’s Encrypt」的計畫,其成立宗旨就是要消除這兩大障礙。該計畫的目標是要免費提供憑證給所有的網站,並且透過一套網站伺服器軟體來盡可能將申請程序自動化。該計畫已獲得許多網路大廠及非營利組織的支持,包括:Akamai、Cisco、Electronic Frontier Foundation (EFF)、Facebook、Mozilla 等等。不過,Let’s Encrypt 僅提供網域認證 (DV) 憑證,而非延伸認證 (EV) 憑證,後者須針對網站經營者做進一步的背景調查才能簽發。
不幸的是,這樣的免費服務也有可能遭人濫用。從去年 12 月 21 日起,我們開始偵測到某惡意廣告伺服器的流量,其受害使用者大多來自日本。這項攻擊行動會讓受害者連上散布 Angler 漏洞攻擊套件的網站,進而下載一個銀行木馬程式 (BKDR_VAWTRAK.AAAFV) 到受害者電腦上。
圖 1:某惡意廣告伺服器的每日流量。
趨勢科技認為這項攻擊行動其實是去年 11月首次出現的一項惡意廣告行動 (同樣針對日本使用者) 的延續。
在這項攻擊當中,歹徒運用了一個稱為「影子網域」(domain shadowing) 的技巧。駭客先想辦法在某個正常的網域底下建立一個子網域,然後將子網域指向駭客所掌控的伺服器。在這次的案例中,駭客在某個正常的網域底下建立了一個子網域:ad.{某正常網域}.com。此處我們刻意不公開其網域名稱,好讓該公司的系統管理員能夠修正此問題。
連上這個子網域的流量就是採用 Let’s Encrypt 簽發的憑證來進行 HTTPS 連線,如下所示:
圖 2:Let’s Encrypt 簽發的 SSL 憑證。 繼續閱讀